28 de Agosto, 2002

El incidente:
Una vulnerabilidad de seguridad ha sido descubierta en el control ActiveX de Microsoft responsable del proceso de Solicitud de Certificados (Certificate Enrollment Control). Este control se encuentra contenido dentro de la librería xenroll.dll. La funcionalidad de este control es permitir la solicitud de certificados en aplicaciones basadas en Web. Es utilizado para generar una solicitud de certificado, y para retirar el certificado emitido y almancenarlo en el repositorio de certificados local del equipo, el cual forma parte de los archivos del usuario.

La solución:
Microsoft ha liberado una actualización que, entre otras características, deshabilita que el control previamente descripto pueda ser invocado desde páginas web e instala una nueva versión del mismo. Información detallada de la vulnerabilidad y su actualización puede ser encotrada en Microsoft Knowledge Base article Q323172, accesible desde el sitio de Microsoft en:

http://www.microsoft.com/technet/treeview/?url=/technet/security/bulletin/MS02-048.asp

La actualización incluye mejoras en las computadoras de los clientes, para lo cual Microsoft ha liberado una actualización crítica, y soluciona ciertos problemas a los Web Servers que utilizan este control. VeriSign ha trabajado con Microsoft para asegurar que las páginas Web residentes en VeriSign y sus afiliados (CertiSur) ha sido actualizada con el nuevo control. Como resultado, los usuarios que se conecten con los sitios de VeriSign o CertiSur NO se encuentran expuestos a esta vulnerabilidad.

Para detalles sobre los servicios afectados y su exitosa resolución, presione sobre el producto descripto a continuación:

• Code Signing ID
• Managed PKI
• Secure Messaging ID

IMPORTANTE: VeriSign y CertiSur alertan y recomiendan a sus clientes de Digital IDs (Client ID, Code Signing ID) actualizar sus equipos con Sistema Operativo Windows con la actualización de Microsoft tan pronto como sea posible siguiendo las instrucciones contenidas en:

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/default.asp

Esto protegerá a usuarios de Windows 2000 y Windows XP contra esta vulnerabilidad y les proveerá de otras características contenidas en la actualización.

Si Usted tiene preguntas, por favor comuniquese con el equipo de Soporte Técnico de CertiSur.